1 / 11

ОКБ САПР

Идентификация и аутентификация пользователей при работе подсистемы разграничения доступа в ОС Linux. Каннер А. М. ОКБ САПР. 1. Подключаемые модули аутентификации ( PAM ). Кратко о PAM….

cytheria-zenon
Download Presentation

ОКБ САПР

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Идентификация и аутентификация пользователейпри работе подсистемы разграничения доступа в ОС Linux Каннер А. М. ОКБ САПР

  2. 1. Подключаемые модули аутентификации (PAM)

  3. Кратко о PAM… • Пришел на смену процедурам идентификации / аутентификации (и/а), интегрированным в отдельные приложения (login, su, sudoи пр.); • Является механизмом «внешней» аутентификации; • Фактически представляет из себя набор внешних модулей, которые можно встраивать в любые приложения; • Является основной системой и/а в ОС семейства Unix, в т.ч. GNU/Linux; • …

  4. Процедура и/а с использованием PAM

  5. Зачем нам PAM? • PAM предоставляет интерфейс для встраивания собственного механизма и/а взамен штатного в ОС семейства UNIX: • с поддержкой идентификации с помощью аппаратных идентификаторов (ТМ, card eID, ПСКЗИ ШИПКА и др.); • с возможностью дополнительной и/а как в АМДЗ, так и в собственном модуле ядра защиты, т.н. мониторе разграничения доступа (МРД) собственной подсистемы разграничения доступа; • с возможностью «сквозной» аутентификации пользователя в ОС.

  6. 2. Подсистема разграничения доступав ОС Linux и PAM

  7. Место МРД и PAM в процессе загрузки ОС • отработка штатного BIOS; • передача управления загрузчику (в boot record); • загрузка ядра ОС и образа initrd в память, монтирование sysroot с доступом read-only; • загрузка МРД в ядро ОС; • запуск init, запуск служб ОС, перемонтирование sysroot на запись, монтирование дополнительных файловых систем; • запуск login (gdm или др.) и аутентификация пользователя с помощью PAMв ОС и МРД.

  8. Порядок взаимодействия PAM с МРД • Запускается утилита login (gdm или др.), делегирующая функции и/а PAM-модулю; • PAM-модуль: • запрашивает идентификатор (TMid) и пароль у пользователя; • рассчитывает хеш от TMid и передает в МРД (netlink); • МРД: • ищет пользователяв собственной БД и сравнивает полученное значение хеша; • если хеш совпадает – возвращает имя пользователя PAM (netlink)и заносит событие в лог; • если хеш не совпадает – возвращаетв PAM код ошибки и заносит событие в лог.

  9. Кросс-делегирование аутентификации пользователя • В процессе аутентификации пользователя в МРД могут учитываться дополнительные параметры: • возможность входа указанного пользователя в систему (выполнение login); • возможность удаленного входа в систему; • возможность входа пользователя в зависимости от разрешенного времени работы; • прочие дополнительные проверки. • Т.о., например, утилита login делегирует функции и/а PAM-модулю, а PAM-модуль в свою очередь делегирует часть этих функций МРД в ОС.

  10. Вместо заключения… Аппаратный компонент? • Следует помнить, что наиболее важным компонентом всей подсистемы разграничения доступа (и PAM в частности) является АМДЗ, с помощью которого должен осуществляться: • контроль компонентов подсистемы разграничения доступа (в т.ч. PAM-модулей); • контроль целостности образа /boot/initrd, в котором прописывается порядок начальной загрузки ОС (в т.ч. и загрузка монитора разграничения доступа); • контроль целостности ядра ОС - /boot/vmlinux; • контроль целостности настроек загрузчика (например, /boot/grub/grub.cfg)и самого загрузчика (boot record).

  11. Идентификация и аутентификация пользователейпри работе подсистемы разграничения доступа в ОС Linux Каннер А. М. ОКБ САПР

More Related